Windows更新时冒充勒索软件

阅读时间： 2 分钟

Fantom是一种最近发现的新勒索软件，伪装成合法的Microsoft Windows更新。 因此，它诱骗用户下载它，从而为数据泄露铺平了道路……
安全公司AVG的恶意软件研究员Jakub Kroustek发现了这种相当复杂的恶意软件。

我们知道，勒索软件是指可帮助黑客阻止系统并以无法打开或使用用户文件的方式加密用户文件的恶意软件。 勒索软件还会阻止应用程序运行。 因此，受影响的人将必须向黑客支付赎金，以使其系统恢复正常运行或打开并使用文件和应用程序。 如今，勒索软件攻击的数量正在增加。 许多组织已经沦为 勒索 最近几个月的袭击。

Fantom如何运作…

Fantom是基于开源EDA2勒索软件项目的勒索软件，它显示为假的Windows Update屏幕。 此更新屏幕使您相信Windows正在安装新的重要更新。 甚至勒索软件的文件属性也会使您相信，声称它来自Microsoft，并且文件描述为“关键更新”。

让您相信它是正版Windows更新，您可以执行它。 这将使 勒索 提取并执行另一个嵌入式程序WindowsUpdate.exe，然后将显示假的Windows Update屏幕。 该屏幕将覆盖所有活动的Windows，您将无法切换到任何其他打开的应用程序。 您会在此更新屏幕上看到一个百分比，该百分比使您相信Windows更新正在进行，而实际上，随着百分比的增加，您的文件正在加密。 尽管按Ctrl + F4组合键可以帮助您关闭此屏幕，但是文件加密将在后台进行。

与其他基于EDA2的勒索软件一样，Fantom将生成随机的AES-128密钥并使用RSA对其进行加密。 然后将其上传到恶意软件开发人员的命令与控制服务器。 然后，它在本地驱动器中扫描包含目标文件扩展名的文件。 这些文件使用AES-128加密进行加密，将为每个加密文件添加扩展名.fantom。 在Fantom加密文件的文件夹中，还将创建赎金记录DECRYPT_YOUR_FILES.HTML。 加密完成后，Fantom将创建两个已执行的批处理文件。 这些将删除卷影副本和您之前获得的伪造更新屏幕。

最后，出现了名为DECRYPT_YOUR_FILES.HTML的赎金票据。 这里将提到只有通过从密码中购买密码才能还原数据。 会有说明发送电子邮件到fantomd12@yandex.ru或fantom12@techemail.com，以便您可以收到付款说明。 还警告您不要尝试还原文件，因为它可能会完全破坏您的数据。

尽管黑客使用不同的策略来打击 勒索，在Fantom案例中使用的策略很聪明。 攻击者模仿的屏幕是大多数用户（包括企业用户）识别甚至信任的屏幕。 引导人们相信他们正在获得合法的Windows更新并因此导致他们下载Fantom相对容易。 对于一般的恶意软件，特别是勒索软件，这可能是一个相当危险的趋势的指针。

勒索软件攻击

勒索软件保护软件

开启免费体验 免费获取即时安全评分

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• 与 Adryenn Ashley 一起铸造未来。 访问这里。
• Sumber: https://blog.comodo.com/pc-security/ransomware-strikes-posing-windows-update/